12

1. ОСНОВЫ ЗАХВАТА И АНАЛИЗА СЕТЕВОГО ТРАФИКА

Мониторинг и анализ сетевого трафика являются неотъемлемой частью процесса управления компьютерной сетью и используются для диагностики, тестирования и поиска неисправностей, для оптимизации структуры информационных потоков, а также выявления и решения проблем в обеспечении безопасности узлов компьютерной сети и информации, циркулирующей между ними.

Целью данного занятия является приобретение навыков захвата сетевого трафика в сегменте локальной сети и анализа собранной информации с помощью программного анализатора протоколов Ethereal. Для успешного достижения целей занятия слушателям необходимо повторить теоретический материал, касающийся назначения и функционирования протоколов стека

TCP/IP.

Для изучения материала данной главы в учебном классе должен быть развернут сегмент локальной вычислительной сети на концентраторе или коммутаторе, включающий в себя рабочие станции c операционной системой Windows 2000/XP по количеству слушателей. При выполнении некоторых упражнений понадобится наличие сервера HTTP или подключение к сети Интернет. Для установки необходимого программного обеспечения на рабочих станциях должны быть доступны инсталляционные пакеты библиотеки WinPCap (версия не ниже 2.3) и анализатора Ethereal (версия не ниже 0.10.11).

1.1. Общие сведения о программе

Существует множество инструментальных средств, предоставляющих необходимые возможности для выполнения мониторинга сети и анализа сетевого трафика. Одним из таких средств является пакет Ethereal, представляющий собой программный анализатор протоколов. Анализатор протоколов переводит сетевой адаптер в режим «беспорядочного» приема кадров, записывает в свой буфер отфильтрованные кадры сетевого трафика, по запросам пользователя выводит на экран те или иные кадры из буфера и посредством декодера протоколов предоставляет пользователю информацию о значениях полей заголовка протокола и содержимое его блока данных.

Как и большинство программ такого класса, Ethereal содержит следующие основные компоненты: фильтр захвата, буфер кадров, декодер протоколов, фильтр отображения захваченных кадров и модуль статистики с элементами экспертной системы. К несомненным достоинствам Ethereal относятся:

−наличие реализаций для Unix и Windows;

−наличие исходного кода программы;

−возможность захвата трафика в сетевых сегментах различных базовых технологий;

13

−возможность анализа огромного числа протоколов (более 700);

−возможность экспорта/импорта файлов данных в формат распространенных анализаторов (несколько десятков форматов);

−мощная и удобная система поиска и фильтрации информации в буфере пакетов;

−наличие элементов экспертной системы;

−возможность сохранения на диск выделенного фрагмента пакета;

−наличие полезных утилит командной строки для осуществления захвата трафика и обработки сохраненных файлов.

1.2. Установка программы и подготовка к захвату

ВЫПОЛНИТЬ!

1.Установите библиотеку WinPCap и анализатор Ethereal, для чего последовательно запустите соответствующие файлы установки.

Некоторые дистрибутивы Ethereal содержат в себе инсталлятор требуемой версии библиотеки WinPCap.

2.Запустите Ethereal и разверните главное окно приложения на весь экран (для удобства работы).

Перед выполнением захвата сетевого трафика необходимо настроить параметры захвата или проконтролировать установленные значения некоторых из них так, чтобы собранная информация адекватно соответствовала решаемой задаче анализа трафика.

ВЫПОЛНИТЬ!

3.Выполните команду меню Capture Options.

Воткрывшемся диалоговом окне устанавливаются следующие параметры захвата кадров (рис. 1.1):

−Interface — сетевой адаптер;

Очень важно выбрать соответствующий сетевой адаптер, иначе запись кадров будет производиться из другого сегмента сети! В компьютере, имеющем всего один сетевой адаптер, среди возможных сетевых интерфейсов часто присутствует контроллер удаленного доступа!

− Buffer size — размер буфера захвата (по умолчанию 1 Мб);

При малом размере буфера существует опасность того, что при его заполнении запись новых кадров будет производиться поверх записанных ранее!

14

− Capture packets in promiscuous mode — использование режима беспоря-

дочного захвата.

Рис. 1.1. Окно настройки параметров захвата

−Limit each packet to — запись только нескольких первых байт (определяется установленным значением параметра) каждого кадра;

−Capture Filter — фильтр захвата;

Фильтр захвата экономит объем буфера, отбрасывая «лишний мусор», однако увеличивает нагрузку на процессор, вследствие чего некоторые кадры могут быть потеряны. Поэтому в некоторых случаях вместо фильтра записи предпочтительнее использовать фильтр отображения кадров в буфере, а запись производить без фильтрации!

− Capture File(s) — файл захвата;

Опция полезна при осуществлении захвата трафика в течение длительного периода времени.

− Stop Capture — условия автоматического завершения захвата;

15

− Display Options — отображение пакетов в реальном времени и автоматический скроллинг окна информации;

Опции увеличивают нагрузку на процессор, вследствие чего некоторые кадры могут быть потеряны.

− Name Resolution — разрешение имен на физическом, сетевом и транспортном уровнях.

ВЫПОЛНИТЬ!

4.Уберите маркер напротив опции «Capture packets in promiscuous mode» для захвата только «своих» кадров (кадры с широковещательным адресом также будут захватываться). В таком режиме работы число захваченных пакетов будет существенно меньше, что облегчит выполнение заданий.

1.3. Пользовательский интерфейс программы

ВЫПОЛНИТЬ!

5.В командной строке сеанса MS-DOS для очистки кэша протокола ARP выполните команду arp -d. В Ethereal для запуска процесса захвата нажми-

те кнопку «Capture». В командной строке выполните команду ping <имя_сервера> (в качестве параметра команды можно использовать IP-адрес сервера). По завершении команды Ping остановите захват, нажав кнопку «Stop».

На экране монитора в программе Ethereal вы увидите несколько панелей с отображением сетевых пакетов, только что записанных в буфер. Общий вид окна приложения представлен на рис. 1.2. Пользовательский интерфейс программы содержит следующие компоненты:

−меню команд и панель инструментов;

−фильтр отображения пакетов;

−список пакетов в буфере;

−панель отображения декодера протоколов;

−панель отображения пакета в шестнадцатеричном коде и символах ASCII.

Панель со списком пакетов построчно отображает характеристики того или иного пакета (номер по порядку в буфере, время захвата, адреса источника и получателя, тип протокола и общая информация о нем). Перемещение по списку осуществляется с помощью мыши или клавиатуры, причем информация на двух других панелях обновляется автоматически. На панели декодера протоколов, нажимая указателем мыши на символы «+» или «–», можно отображать информацию о полях заголовков протоколов с требуемым уровнем детализации. При выборе того или иного служебного поля в заголовке оно автоматически выделяется на нижней панели, где отображается текущий пакет в шестнадцатеричном виде.